CN103036895A - 一种状态跟踪方法及系统 - Google Patents

一种状态跟踪方法及系统 Download PDF

Info

Publication number
CN103036895A
CN103036895A CN2012105599871A CN201210559987A CN103036895A CN 103036895 A CN103036895 A CN 103036895A CN 2012105599871 A CN2012105599871 A CN 2012105599871A CN 201210559987 A CN201210559987 A CN 201210559987A CN 103036895 A CN103036895 A CN 103036895A
Authority
CN
China
Prior art keywords
interface
data packet
client
calling
call
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN2012105599871A
Other languages
English (en)
Other versions
CN103036895B (zh
Inventor
潘剑锋
王宇
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Qihoo Technology Co Ltd
Original Assignee
Beijing Qihoo Technology Co Ltd
Qizhi Software Beijing Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Qihoo Technology Co Ltd, Qizhi Software Beijing Co Ltd filed Critical Beijing Qihoo Technology Co Ltd
Priority to CN201210559987.1A priority Critical patent/CN103036895B/zh
Publication of CN103036895A publication Critical patent/CN103036895A/zh
Application granted granted Critical
Publication of CN103036895B publication Critical patent/CN103036895B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了状态跟踪方法及系统,其中,该系统包括拦截模块、监测模块和判断模块;其中,所述拦截模块还用于:拦截客户端进程与服务端进程之间相互绑定时交换的请求和响应的数据包,从所述数据包中获取并保存两个进程相互约定的调用规则,其中所述调用规则包括:接口及所配置的接口的代号的对应关系,和/或,所述接口中包括的各应用程序编码接口及所配置的接口标识的对应关系。本发明解决了在现有客户端与服务器之间进行RPC调用时,获取调用的接口和函数号的准确含义。

Description

一种状态跟踪方法及系统
技术领域
本发明涉及操作系统中运用远程过程调用协议领域,具体地说,涉及一种状态跟踪方法及系统。
背景技术
主动防御是基于程序行为自主分析判断的实时防护技术,不以特征码作为判断恶意程序的依据,而是从最原始的定义出发,直接将程序的行为作为判断恶意程序的依据,其中衍生出在本地使用特征库、在本地设置行为阈值以及在本地启发式杀毒的方式来判别、拦截恶意程序的行为,从而一定程度上达到保护用户个人电脑或计算机的目的。
现有的主动防御系统包括:
1、HIPS(Host-based Intrusion Prevention System,基于主机的入侵防御系统)、沙箱等防御型产品需要对危险操作进行拦截,但是windows操作系统十分灵活,有多种进程间通信(IPC,Inter-Process Communication)机制,一旦恶意代码通过IPC利用系统进程来进行危险操作,那么对这种操作就难以拦截,需要改,而拦截恶意代码是通过IPC向系统服务发出的恶意请求。尤其是RPC(Remote Procedure Call Protocol,远程过程调用协议)方式就是最难以拦截的IPC机制之一。RPC是一种通过网络从远程计算机程序上请求服务,而不需要了解底层网络技术的协议。RPC协议假定某些传输协议的存在,如TCP或UDP,为通信程序之间携带信息数据。在OSI网络通信模型中,RPC跨越了传输层和应用层。RPC使得开发包括网络分布式多程序在内的应用程序更加容易。
2、Windows操作系统下对RPC拦截需要识别发起请求的目的,即请求的是什么接口(含GUID(Global unique identifier,全局唯一标识符)标识)、什么函数、什么参数等内容。Windows操作系统下RPC的载体有很多,例如本地过程调用(LPC)、命名管道(NamedPipe)、TCP/IP网络等。在本机系统(不跨网络时)上最常见的是LPC与NamedPipe。客户向服务器发起RPC请求首先会先对接口进行绑定(binding),随后才能发出请求(Request)调用指定的程序(Procedure)(通过指明ProcNum或API number)。现有的RPC拦截都是针对请求(Request)阶段的,即只能获得ProcNum和参数,并不能获得GUID标识(这时仅能获得由binding时的数字标识),这样就难以获得完整的请求信息。
现有技术中,针对RPC拦截(状态跟踪)仅仅知道ProcNum和参数,然后根据一些条件(如port名称、栈回朔参数等内容)去猜测来判断客户端发送的是否为恶意的请求程序是不准确的。
RPC采用客户端/服务器模式,实际上请求程序就是一个客户端,而服务提供程序就是一个服务器。
首先,客户端调用进程发送一个有进程参数的调用信息到服务进程,然后等待答复信息。在服务器端,服务进程保持睡眠状态直到调用信息的到达为止。当一个调用信息到达,服务器获得进程参数,计算结果,发送答复信息,然后等待下一个调用信息,最后,客户端调用进程接收答复信息,获得进程结果,然后调用信息继续进行。
所以当客户端为一恶意的请求程序,调用服务器完成恶意操作时,拦截程序(状态跟踪程序)在调用阶段介入拦截,拦截获得调用参数,但是现有技术中并不知道调用过程中所使用的调用指令的含义,所以也无从知晓这个调用指令是要执行什么操作,也就不能判断出操作是否为恶意。
现在技术中,可以根据拦截程序在调用阶段介入拦截到的一些其它信息,去猜测调用指令的含义,当调用指令仅涉及少量函数功能时,这种猜测是具备一定操作基础的。但是往往一个调用指令中会涉及很多个功能,此时根据一个调用指令无法准备获知客户端具体要调用服务器完成什么操作。
综上所述,如何准确地获取客户端与服务器之间进行RPC调用时,调用的接口和函数号的准确含义,从而就可以判定客户端发送的是否为恶意的请求程序,这样就能够进行防御操作,所以上述问题便成为亟待解决的技术问题。
发明内容
鉴于上述问题,提出了本发明以便提供一种克服上述问题或者至少部分地解决或者减缓上述问题的一种状态跟踪方法及系统。
根据本发明的一个方面,提供了一种状态跟踪方法,用于远程过程调用协议,其包括:
拦截客户端进程与服务端进程之间相互绑定时交换的数据包,从所述数据包中获取并保存两个进程相互约定的调用规则;
当监测到客户端进程运用远程过程调用协议,请求服务端进程提供服务的数据包时或响应另一进程的数据包时,解析该数据包并获取该数据包里面含有的调用指令;
根据所述调用规则判断该调用指令所完成的业务行为;
其中,拦截客户端进程与服务端进程之间相互绑定时交换的数据包,从所述数据包中获取并保存两个进程相互约定的调用规则,还包括:
拦截客户端进程与服务端进程之间相互绑定时交换的请求和响应的数据包,从所述数据包中获取并保存两个进程相互约定的调用规则,其中所述调用规则包括:接口及所配置的接口的代号的对应关系,和/或,所述接口中包括的各应用程序编码接口及所配置的接口标识的对应关系。
进一步地,其中,根据所述调用规则判断该调用指令所完成的业务行为,还包括:
根据所述调用规则判断该调用指令所完成的业务行为,通过判断所述业务行为是否为恶意来判定所述客户端进程是否为恶意;
如判定所述业务行为为正常,继续监测下一请求或响应的数据包;如判定所述业务行为为恶意,则进而判定所述客户端进程为恶意,拦截该数据包。
进一步地,其中,当监测到客户端进程运用远程过程调用协议,请求服务端进程提供服务的数据包时或响应另一进程的数据包时,解析该数据包并获取该数据包里面含有的调用指令,还包括:
当监测到客户端进程运用远程过程调用协议,请求服务端进程提供服务的数据包时或响应另一进程的数据包时,解析该数据包并获取该数据包里面含有的调用指令;其中,所述数据包为本地过程调用的请求报文,所述调用指令携带接口的代号和/或接口标识。
进一步地,其中,根据所述调用规则判断该调用指令所完成的业务行为,还包括:根据所述调用规则,对该调用指令中携带的接口的代号和/或接口标识进行判断,从而识别出所述客户端所调用的接口和函数。
进一步地,其中,所述数据包为采用本地过程调用、命名管道、UDP协议网络消息或TCP/IP网络消息的数据包。
进一步地,其中,所述调用规则,包括:所述调用指令与业务行为的对应关系;所述调用指令,包括:服务器根据客户端的请求所配置的接口的代号、以及服务器为接口中包含的应用程序编码接口配置的接口标识;所述业务行为,包括:客户端请求的接口、以及客户端请求的接口中包含的应用程序编码接口。
进一步地,其中,所述接口的代号为通过表达上下文字段PresentationContext来表示;所述接口标识为通过函数号ProcNum来表示。
根据本发明的一个方面,还提供了一种状态跟踪系统,用于远程过程调用协议,其包括:拦截模块、监测模块和判断模块;其中,
所述拦截模块,用于拦截客户端进程与服务端进程之间相互绑定时交换的数据包,从所述数据包中获取并保存两个进程相互约定的调用规则;
所述监测模块,用于当监测到客户端进程运用远程过程调用协议,请求服务端进程提供服务的数据包时或响应另一进程的数据包时,解析该数据包并获取该数据包里面含有的调用指令;
判断模块,用于根据所述调用规则判断该调用指令所完成的业务行为;
其中,所述拦截模块还用于:拦截客户端进程与服务端进程之间相互绑定时交换的请求和响应的数据包,从所述数据包中获取并保存两个进程相互约定的调用规则,其中所述调用规则包括:接口及所配置的接口的代号的对应关系,和/或,所述接口中包括的各应用程序编码接口及所配置的接口标识的对应关系。
进一步地,其中,所述判断模块,还用于根据所述调用规则判断该调用指令所完成的业务行为,通过判断所述业务行为是否为恶意来判定所述客户端进程是否为恶意;
如判定所述业务行为为正常,继续监测下一请求或响应的数据包;如判定所述业务行为为恶意,则进而判定所述客户端进程为恶意,拦截该数据包。
进一步地,其中,所述监测模块,还用于:当监测到客户端进程运用远程过程调用协议,请求服务端进程提供服务的数据包时或响应另一进程的数据包时,解析该数据包并获取该数据包里面含有的调用指令;其中,所述数据包为本地过程调用的请求报文,所述调用指令携带接口的代号和/或接口标识。
进一步地,其中,所述判断模块,还用于:根据所述调用规则,对该调用指令中携带的接口的代号和/或接口标识进行判断,从而识别出所述客户端所调用的接口和函数。
进一步地,其中,所述数据包为采用本地过程调用、命名管道、UDP协议网络消息或TCP/IP网络消息的数据包。
进一步地,其中,所述调用规则,包括:所述调用指令与业务行为的对应关系;所述调用指令,包括:服务器根据客户端的请求所配置的接口的代号、以及服务器为接口中包含的应用程序编码接口配置的接口标识;所述业务行为,包括:客户端请求的接口、以及客户端请求的接口中包含的应用程序编码接口。
进一步地,其中,所述接口的代号为通过表达上下文字段PresentationContext来表示;所述接口标识为通过函数号ProcNum来表示。
与现有的方案相比,本发明所获得的技术效果:
1)完全准确地获取客户端与服务器之间进行RPC调用时,调用的接口和函数号的准确含义,从而还可以判定是否为恶意程序;
2)通过本发明能够进行有效的防御操作,从而避免恶意请求程序的攻击,达到保护用户个人电脑或计算机的目的。
上述说明仅是本发明技术方案的概述,为了能够更清楚了解本发明的技术手段,而可依照说明书的内容予以实施,并且为了让本发明的上述和其它目的、特征和优点能够更明显易懂,以下特举本发明的具体实施方式。
附图说明
通过阅读下文优选实施方式的详细描述,各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的,而并不认为是对本发明的限制。而且在整个附图中,用相同的参考符号表示相同的部件。在附图中:
图1示意性示出了客户端与服务器在发生运用远程过程调用协议调用之前预先进行绑定的过程流程图;
图2示意性示出了根据本发明一个实施例所述状态跟踪方法流程图;
图3是示意性示出了根据本发明另一个实施例所述状态跟踪方法流程图;
图4示意性示出了根据本发明一个实施例所述状态跟踪系统结构框图。
具体实施方式
下面结合附图和具体的实施方式对本发明作进一步的描述。
如图1所示,在客户端与服务器之间发生RPC调用之前,会预先进行绑定(binding),其过程为:
步骤101,客户端向服务器发送绑定请求,告知服务器自己要使用哪个Interface(接口);其中,每个Interface划分出一类服务函数集合。所谓Interface是面向对象编程语言中接口操作的关键字,功能是把所需成员组合起来,以封装一定功能的接口;
步骤102,服务器为Interface配置一个ID,并为这个Interface所包括的所有API(Application Programming Interface,应用程序编程接口)均配置一个标识number;
其中,该Interface可能包含一个或多个的API,完成各种功能;这里因为Interface可能是一个非常复杂而且冗长的名字,因此配置一个简单的标识ID以方便之后的交互,而且标识ID也更为机器可读,API number也是同理,即API(Application Programming Interface,应用程序编程接口)的编号;
步骤103,服务器向客户端发送绑定请求的响应,告知客户端所配置的Interface的标识ID以及API的编号(即API number);
步骤104,客户端记录Interface对应的标识ID以及API对应的编号(APInumber);
步骤105,客户端向服务器发送ID和API number,从而告知服务器自己需要调用哪个接口的哪个函数;
此时因为步骤102已经完成配置约定,所以客户端仅向服务器发送ID和API number即可;
步骤106,服务器解析ID和API number,从而获知客户端需要调用地端口和函数,也即哪个接口的哪个函数。
现有技术中RPC拦截都是针对步骤105之后的阶段,仅仅能够捕获ProcNum,并没有捕获请求过程中对于RPC状态追踪有用的完整的请求信息,比如:PresentationContext;其中ProcNum即接口编号API number中的一种,PresentationContext是表征一个接口的代号(句柄),其他人拿到这个句柄并不知道其含义(即代表哪个接口),所以只能去进行推测或者猜或是栈回朔进行猜。
因此现有技术只能利用不完整的捕获信息ProcNum,根据如port名称、栈回朔参数等去猜测捕获到的ProcNum的含义,状态分析的准确性相对较低。
而本发明首先确认了PresentationContext参数对于解析所追踪的状态的重要意义,追踪了上述的整个过程(主要是之前的绑定过程),通过监控请求的通讯过程捕获完整的请求信息,所以可以清楚的解释这个句柄代表了哪个接口。
这样通过监控请求的通讯过程捕获完整的请求信息从而完全掌握PresentationContext和ProcNum的含义,保证了状态分析的准确性。
如图2所示,本发明一个实施例所述的状态跟踪方法,其中,该方法包括:
步骤201,拦截客户端进程与服务端进程之间相互绑定时交换的数据包,从所述数据包中获取并保存两个进程相互约定的调用规则;
步骤202,当监测到客户端进程运用远程过程调用协议,请求服务端进程提供服务的数据包时或响应另一进程的数据包时,解析该数据包并获取该数据包里面含有的调用指令;
步骤203,根据所述调用规则判断该调用指令所完成的业务行为。
如图3所示,为了实现本发明所要解决的技术问题,同时通过判断业务行为是否为恶意来判定所述客户端进程是否为恶意,本发明另一个实施例所述的方法,包括:
步骤301,拦截客户端进程与服务端进程之间相互绑定时交换的数据包,从所述数据包中获取并保存两个进程相互约定的调用规则;
步骤302,当监测到客户端进程运用远程过程调用协议,请求服务端进程提供服务的数据包时或响应另一进程的数据包时,解析该数据包并获取该数据包里面含有的调用指令;
步骤303,根据所述调用规则判断该调用指令所完成的业务行为,通过判断所述业务行为是否为恶意来判定所述客户端进程是否为恶意;如判定所述业务行为为正常,继续监测下一请求或响应的数据包;如判定所述业务行为为恶意,则进而判定所述客户端进程为恶意,拦截该数据包。
如下以一个基于LPC(本地过程调用)媒介(数据包)的RPC部分数据包格式(本地过程调用的请求报文LPC_REQUEST_MESSAGE)为例,在Vista系统中的一些系统数据包定义,说明采用上述实施例所述的状态跟踪方法中“根据所述调用规则判断该调用指令所完成的业务行为”这个操作过程,请注意看里面的开头都是LPC_PACKET_HEADER,而这个结构的开头又是一个标准的PORT_MESSAGE(LPC消息包头)。
Figure BDA00002625119900081
Figure BDA00002625119900091
另外,上述方法实施例中所述数据包为采用本地过程调用、命名管道(namedpipe)、UDP(User Datagram Protocol,用户数据包协议)协议网络消息或TCP/IP网络消息的数据包等内容组成,但这里不做具体限定,还可以采用其他格式的数据包,这里不再赘述。如针对上述的LPC情况,请求数据包里面由PresentationContext、ProcNum就能确定具体是调用哪个接口的哪个函数(具体参数跟在函数后面)。
此外,在上述步骤中,所述数据包中获取并保存相互约定的调用规则,包括:所述调用指令与业务行为的对应关系;
所述调用指令,包括:服务器根据客户端的请求所配置的接口的代号、以及服务器为接口中包含的应用程序编码接口配置的接口标识;
所述业务行为,包括:客户端请求的接口、以及客户端请求的接口中包含的应用程序编码接口;
因此,所述调用规则,也即包括:客户端请求的接口及服务器配置的接口的代号的对应关系,和/或客户端请求的接口中包含的应用程序编码接口及服务器配置的应用程序编码接口的接口标识的对应关系。
其中,所述接口的代号(句柄)为通过表达上下文字段PresentationContext来表示;PresentationContextPresentationContext可以具体表征一个接口的代号(句柄)。
所述接口标识为通过函数号ProcNum来表示。
根据上述内容来说,具体地,步骤303为:根据步骤302中保存的相互绑定的调用规则,识别所述数据包中的接口的代号和应用程序编码接口的标识所对应的调用的接口、应用程序编码接口,将该接口、应用程序编码接口在特征库遍历查找,判断所述业务行为是否为恶意,所述特征库中保存恶意行为的特征或安全行为的特征;如判定所述业务行为为正常,继续监测下一请求或响应的数据包;如判定所述业务行为为恶意,则进而判定所述客户端进程为恶意,拦截该数据包。
需要说明的是,这里所述的特征库,保存业务行为对应的程序所完成的程序行为,将一些合法/非法的程序行为的特征进行收集汇总建立白/黑名单,也就是特征库,这样当对数据包进行解析后,得到的只是数据包中的接口的代号和应用程序编码接口标识,然后根据之前保存调用规则查找到相对应的业务行为是什么,然后根据该业务行为在特征库中查找,如该请求是正常的,那么就可以进行放行通过。
举例说明下,比如接口代号1对应包含接口标识01,该接口标识01是执行“修改注册表”业务的API接口,这个调用规则事先已由客户端和服务端在绑定阶段约定好。客户端此时发出请求数据包,其中含有接口代号1和接口标识01;本发明监测到这个请求的数据包,然后拦截该数据包并进行解析,获得其中包含的接口代号1和接口标识01,根据调用规则获知该接口代号1和接口标识01是执行“修改注册表”业务的API接口;此时根据该API接口执行“修改注册表”操作的这种特征,在已经建立好的黑名单特征库进行遍历查找,黑名单特征库中保存有该API的特征或者保存有“修改注册表”这种行为的特征(所述特征可以为MD5值),这样通过匹配命中即得出接口代号1和接口标识01对应的“修改注册表”业务是恶意的,即该客户端在请求服务端对注册表进行修改,因此可以认为作出该请求的客户端是恶意的,必须拦截该请求的数据包。由于本发明的所要保护的重点并不是如何创建和生成特征库,因此在本发明的后续内容中不在赘述。
下面以一个应用实施例(客户端与服务器之间),进行详细说明:
第一步,拦截客户端进程与服务端进程之间相互绑定时交换的数据包,从所述数据包中获取并保存两个进程相互约定的调用规则,其中,所述调用规则包括:客户端请求的Interface(面向对象编程语言中接口操作的接口)及服务器配置的Interface标识(ID)的对应关系、以及Interface中包含的API(Application Programming Interface,应用程序编程接口)以及服务器配置的API标识的对应关系。
第二步,当监测到所述客户端运用远程过程调用协议请求所述服务器提供服务的数据包时或当监测到所述服务器响应所述客户端的数据包时,对该数据包进行解析获取其中的请求的Interface标识和API标识;根据第一步中保存的相互约定的调用规则,识别出所述数据包中Interface标识和API标识对应的Interface和API。
第三步,根据该Interface和API的行为特征在白名单特征库遍历查找是否存在,如存在则判定为正常请求,继续监测下一请求或响应的数据包;如不存在则判定为恶意请求,并拦截该请求执行。
需要说明的是,在具体执行的标识信息中,Interface标识(ID)可以通过PresentationContext(表达上下文字段)来表示,即接口的代号;而API标识可以通过ProcNum(函数号)来表示,即接口标识。
如图4所示,为发明另一个实施例所述的状态跟踪系统,该系统应用于两个进程之间,该系统40包括:拦截模块401、监测模块402和判断模块403;其中,
所述拦截模块401,与所述监测模块402相耦接,用于拦截客户端10中的客户端进程与服务器20中的服务端进程之间相互绑定时交换的数据包,从所述数据包中获取并保存两个进程相互约定的调用规则;
所述监测模块402,分别与所述拦截模块401和判断模块403相耦接,用于当监测到客户端进程运用远程过程调用协议,请求服务端进程提供服务的数据包时或响应另一进程的数据包时,解析该数据包并获取该数据包里面含有的调用指令;
判断模块403,与所述监测模块402相耦接,用于根据所述调用规则判断该调用指令所完成的业务行为。
如图4所示,基于上述实施例的结构特征,本发明另一个实施例所述的状态跟踪系统,该系统应用于两个进程之间,该系统40包括:拦截模块401、监测模块402和判断模块403;其中,
所述拦截模块401,与所述监测模块402相耦接,用于拦截客户端10中的客户端进程与服务器20中的服务端进程之间相互绑定时交换的数据包,从所述数据包中获取并保存两个进程相互约定的调用规则;
所述监测模块402,分别与所述拦截模块401和判断模块403相耦接,用于当监测到客户端进程运用远程过程调用协议,请求服务端进程提供服务的数据包时或响应另一进程的数据包时,解析该数据包并获取该数据包里面含有的调用指令;
判断模块403,与所述监测模块402相耦接,用于根据所述调用规则判断该调用指令所完成的业务行为,通过判断所述业务行为是否为恶意来判定所述客户端进程是否为恶意;如判定所述业务行为为正常,继续监测下一请求或响应的数据包;如判定所述业务行为为恶意,则进而判定所述客户端进程为恶意,拦截该数据包。
另外,上述系统实施例中所述数据包为采用本地过程调用、命名管道(namedpipe)或TCP/IP网络消息的数据包等内容组成,但这里不做具体限定,还可以采用其他格式的数据包,这里不再赘述。如针对上述的LPC情况,请求数据包里面由PresentationContext、ProcNum就能确定具体是调用哪个接口的哪个函数(具体参数自然跟在后面)。现有技术中的RPC拦截仅仅知道ProcNum,然后根据一些条件(如port名称、栈回朔参数)去猜(因为现有技术中并不知道PresentationContext这个数字的含义),我们通过状态追踪完整的通讯过程就能完全掌握其含义。
此外,在上述步骤中,所述数据包中获取并保存相互约定的调用规则,包括:所述调用指令与业务行为的对应关系;
所述调用指令,包括:服务器根据客户端的请求所配置的接口的代号、以及服务器为接口中包含的应用程序编码接口配置的接口标识;
所述业务行为,包括:客户端请求的接口、以及客户端请求的接口中包含的应用程序编码接口;
因此,所述调用规则,也即包括:客户端请求的接口及服务器配置的接口的代号的对应关系、和/或客户端请求的接口中包含的应用程序编码接口及服务器配置的应用程序编码接口的接口标识的对应关系。
其中,所述接口的代号为通过表达上下文字段PresentationContext来表示;所述接口标识为通过函数号ProcNum来表示。
进一步地,这里对本发明中系统的实施例的进一步展开描述与前述的本发明的方法的内容和应用实例内容基本一致,对于本领域技术人员来说,通过上述方法便可以知道所述系统的具体操作过程,因此这里不再赘述。
与现有的方案相比,本发明所获得的技术效果:
1)完全准确地获取客户端与服务器之间进行RPC调用时,调用的接口和函数号的准确含义,从而可以判定是否为恶意程序;
2)通过本发明能够进行有效的防御操作,从而避免恶意请求程序的攻击,达到保护用户个人电脑或计算机的目的。
本发明的各个部件实施例可以以硬件实现,或者以在一个或者多个处理器上运行的软件模块实现,或者以它们的组合实现。本领域的技术人员应当理解,可以在实践中使用微处理器或者数字信号处理器(DSP)来实现根据本发明实施例中的一些或者全部部件的一些或者全部功能。本发明还可以实现为用于执行这里所描述的方法的一部分或者全部的设备或者装置程序(例如,计算机程序和计算机程序产品)。这样的实现本发明的程序可以存储在计算机可读介质上,或者可以具有一个或者多个信号的形式。这样的信号可以从因特网网站上下载得到,或者在载体信号上提供,或者以任何其他形式提供。
本文中所称的“一个实施例”、“实施例”或者“一个或者多个实施例”意味着,结合实施例描述的特定特征、结构或者特性包括在本发明的至少一个实施例中。此外,请注意,这里“在一个实施例中”的词语例子不一定全指同一个实施例。
在此处所提供的说明书中,说明了大量具体细节。然而,能够理解,本发明的实施例可以在没有这些具体细节的情况下被实践。在一些实例中,并未详细示出公知的方法、结构和技术,以便不模糊对本说明书的理解。
应该注意的是上述实施例对本发明进行说明而不是对本发明进行限制,并且本领域技术人员在不脱离所附权利要求的范围的情况下可设计出替换实施例。在权利要求中,不应将位于括号之间的任何参考符号构造成对权利要求的限制。单词“包含”不排除存在未列在权利要求中的元件或步骤。位于元件之前的单词“一”或“一个”不排除存在多个这样的元件。本发明可以借助于包括有若干不同元件的硬件以及借助于适当编程的计算机来实现。在列举了若干装置的单元权利要求中,这些装置中的若干个可以是通过同一个硬件项来具体体现。单词第一、第二、以及第三等的使用不表示任何顺序。可将这些单词解释为名称。
此外,还应当注意,本说明书中使用的语言主要是为了可读性和教导的目的而选择的,而不是为了解释或者限定本发明的主题而选择的。因此,在不偏离所附权利要求书的范围和精神的情况下,对于本技术领域的普通技术人员来说许多修改和变更都是显而易见的。对于本发明的范围,对本发明所做的公开是说明性的,而非限制性的,本发明的范围由所附权利要求书限定。

Claims (14)

1.一种状态跟踪方法,用于远程过程调用协议,包括:
拦截客户端进程与服务端进程之间相互绑定时交换的数据包,从所述数据包中获取并保存两个进程相互约定的调用规则;
当监测到客户端进程运用远程过程调用协议,请求服务端进程提供服务的数据包时或响应另一进程的数据包时,解析该数据包并获取该数据包里面含有的调用指令;
根据所述调用规则判断该调用指令所完成的业务行为;
其中,拦截客户端进程与服务端进程之间相互绑定时交换的数据包,从所述数据包中获取并保存两个进程相互约定的调用规则,还包括:
拦截客户端进程与服务端进程之间相互绑定时交换的请求和响应的数据包,从所述数据包中获取并保存两个进程相互约定的调用规则,其中所述调用规则包括:接口及所配置的接口的代号的对应关系,和/或,所述接口中包括的各应用程序编码接口及所配置的接口标识的对应关系。
2.如权利要求1所述的状态跟踪方法,其特征在于,根据所述调用规则判断该调用指令所完成的业务行为,还包括:
根据所述调用规则判断该调用指令所完成的业务行为,通过判断所述业务行为是否为恶意来判定所述客户端进程是否为恶意;
如判定所述业务行为为正常,继续监测下一请求或响应的数据包;如判定所述业务行为为恶意,则进而判定所述客户端进程为恶意,拦截该数据包。
3.如权利要求1或2所述的状态跟踪方法,其特征在于,当监测到客户端进程运用远程过程调用协议,请求服务端进程提供服务的数据包时或响应另一进程的数据包时,解析该数据包并获取该数据包里面含有的调用指令,还包括:
当监测到客户端进程运用远程过程调用协议,请求服务端进程提供服务的数据包时或响应另一进程的数据包时,解析该数据包并获取该数据包里面含有的调用指令;其中,所述数据包为本地过程调用的请求报文,所述调用指令携带接口的代号和/或接口标识。
4.如权利要求3所述的状态跟踪方法,其特征在于,根据所述调用规则判断该调用指令所完成的业务行为,还包括:
根据所述调用规则,对该调用指令中携带的接口的代号和/或接口标识进行判断,从而识别出所述客户端所调用的接口和函数。
5.如权利要求1至2中任一所述的状态跟踪方法,其特征在于,所述数据包为采用本地过程调用、命名管道、UDP协议网络消息或TCP/IP网络消息的数据包。
6.如权利要求1所述的状态跟踪方法,其中,
所述调用规则,包括:所述调用指令与业务行为的对应关系;
所述调用指令,包括:服务器根据客户端的请求所配置的接口的代号、以及服务器为接口中包含的应用程序编码接口配置的接口标识;
所述业务行为,包括:客户端请求的接口、以及客户端请求的接口中包含的应用程序编码接口。
7.如权利要求1或2或6所述的状态跟踪方法,其中,
所述接口的代号为表达上下文字段PresentationContext;
所述接口标识为函数号ProcNum。
8.一种状态跟踪系统,用于远程过程调用协议,包括:拦截模块、监测模块和判断模块;其中,
所述拦截模块,用于拦截客户端进程与服务端进程之间相互绑定时交换的数据包,从所述数据包中获取并保存两个进程相互约定的调用规则;
所述监测模块,用于当监测到客户端进程运用远程过程调用协议,请求服务端进程提供服务的数据包时或响应另一进程的数据包时,解析该数据包并获取该数据包里面含有的调用指令;
判断模块,用于根据所述调用规则判断该调用指令所完成的业务行为;
其中,所述拦截模块还用于:
拦截客户端进程与服务端进程之间相互绑定时交换的请求和响应的数据包,从所述数据包中获取并保存两个进程相互约定的调用规则,其中所述调用规则包括:接口及所配置的接口的代号的对应关系,和/或,所述接口中包括的各应用程序编码接口及所配置的接口标识的对应关系。
9.如权利要求8所述的状态跟踪系统,其特征在于,
所述判断模块,还用于根据所述调用规则判断该调用指令所完成的业务行为,通过判断所述业务行为是否为恶意来判定所述客户端进程是否为恶意;
如判定所述业务行为为正常,继续监测下一请求或响应的数据包;如判定所述业务行为为恶意,则进而判定所述客户端进程为恶意,拦截该数据包。
10.如权利要求8或9所述的状态跟踪系统,其特征在于,所述监测模块,还用于:
当监测到客户端进程运用远程过程调用协议,请求服务端进程提供服务的数据包时或响应另一进程的数据包时,解析该数据包并获取该数据包里面含有的调用指令;其中,所述数据包为本地过程调用的请求报文,所述调用指令携带接口的代号和/或接口标识。
11.如权利要求10所述的状态跟踪系统,其特征在于,所述判断模块,还用于:
根据所述调用规则,对该调用指令中携带的接口的代号和/或接口标识进行判断,从而识别出所述客户端所调用的接口和函数。
12.如权利要求8至9中任一所述的状态跟踪系统,其特征在于,所述数据包为采用本地过程调用、命名管道、UDP协议网络消息或TCP/IP网络消息的数据包。
13.如权利要求8所述的状态跟踪系统,其特征在于,
所述调用规则,包括:所述调用指令与业务行为的对应关系;
所述调用指令,包括:服务器根据客户端的请求所配置的接口的代号、以及服务器为接口中包含的应用程序编码接口配置的接口标识;
所述业务行为,包括:客户端请求的接口、以及客户端请求的接口中包含的应用程序编码接口。
14.如权利要求8或9或13所述的状态跟踪系统,其特征在于,
所述接口的代号为表达上下文字段PresentationContext;
所述接口标识为函数号ProcNum。
CN201210559987.1A 2012-12-20 2012-12-20 一种状态跟踪方法及系统 Active CN103036895B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201210559987.1A CN103036895B (zh) 2012-12-20 2012-12-20 一种状态跟踪方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201210559987.1A CN103036895B (zh) 2012-12-20 2012-12-20 一种状态跟踪方法及系统

Publications (2)

Publication Number Publication Date
CN103036895A true CN103036895A (zh) 2013-04-10
CN103036895B CN103036895B (zh) 2015-11-11

Family

ID=48023378

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201210559987.1A Active CN103036895B (zh) 2012-12-20 2012-12-20 一种状态跟踪方法及系统

Country Status (1)

Country Link
CN (1) CN103036895B (zh)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105141505A (zh) * 2015-08-25 2015-12-09 北京京东尚科信息技术有限公司 即时通信系统中的消息传递跟踪方法和设备
CN105956470A (zh) * 2016-05-03 2016-09-21 北京金山安全软件有限公司 一种拦截应用程序行为的方法及终端
CN106203092A (zh) * 2016-06-30 2016-12-07 北京金山安全软件有限公司 一种拦截恶意程序关机的方法、装置及电子设备
CN110347374A (zh) * 2019-06-14 2019-10-18 北京数立得科技有限公司 一种富客户端业务服务封装和调用系统、方法和装置

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101604361A (zh) * 2008-06-11 2009-12-16 北京奇虎科技有限公司 一种恶意软件的检测方法及装置
CN102438023A (zh) * 2011-12-29 2012-05-02 成都市华为赛门铁克科技有限公司 恶意远程过程调用行为的检测方法和装置
CN102546663A (zh) * 2012-02-23 2012-07-04 神州数码网络(北京)有限公司 一种防止重复地址检测攻击的方法和装置
CN103023906A (zh) * 2012-12-20 2013-04-03 北京奇虎科技有限公司 针对远程过程调用协议进行状态跟踪的方法及系统

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101604361A (zh) * 2008-06-11 2009-12-16 北京奇虎科技有限公司 一种恶意软件的检测方法及装置
CN102438023A (zh) * 2011-12-29 2012-05-02 成都市华为赛门铁克科技有限公司 恶意远程过程调用行为的检测方法和装置
CN102546663A (zh) * 2012-02-23 2012-07-04 神州数码网络(北京)有限公司 一种防止重复地址检测攻击的方法和装置
CN103023906A (zh) * 2012-12-20 2013-04-03 北京奇虎科技有限公司 针对远程过程调用协议进行状态跟踪的方法及系统

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105141505A (zh) * 2015-08-25 2015-12-09 北京京东尚科信息技术有限公司 即时通信系统中的消息传递跟踪方法和设备
CN105956470A (zh) * 2016-05-03 2016-09-21 北京金山安全软件有限公司 一种拦截应用程序行为的方法及终端
CN106203092A (zh) * 2016-06-30 2016-12-07 北京金山安全软件有限公司 一种拦截恶意程序关机的方法、装置及电子设备
CN106203092B (zh) * 2016-06-30 2019-12-10 珠海豹趣科技有限公司 一种拦截恶意程序关机的方法、装置及电子设备
CN110347374A (zh) * 2019-06-14 2019-10-18 北京数立得科技有限公司 一种富客户端业务服务封装和调用系统、方法和装置
CN110347374B (zh) * 2019-06-14 2023-01-13 北京数立得科技有限公司 一种富客户端业务服务封装和调用系统、方法和装置

Also Published As

Publication number Publication date
CN103036895B (zh) 2015-11-11

Similar Documents

Publication Publication Date Title
CN103023906B (zh) 针对远程过程调用协议进行状态跟踪的方法及系统
CN107294982B (zh) 网页后门检测方法、装置及计算机可读存储介质
CN102932329B (zh) 一种对程序的行为进行拦截的方法、装置和客户端设备
CN106936793B (zh) 一种信息拦截处理方法及终端
US8359653B2 (en) Portable program for generating attacks on communication protocols and channels
US10225167B2 (en) Method and system for determining page impression in a client-server system
JP2008054310A (ja) 伝送制御プロトコル(tcp)セッションのセグメントを解析する装置、システム、及び方法
CN102916937B (zh) 一种拦截网页攻击的方法、装置和客户端设备
CN105592017B (zh) 跨站脚本攻击的防御方法及系统
US12050685B2 (en) Automated threat model generation
CN109802919B (zh) 一种web网页访问拦截方法及装置
CN111835777B (zh) 一种异常流量检测方法、装置、设备及介质
WO2018192007A1 (zh) 一种数据包传输方法和系统
CN103036895B (zh) 一种状态跟踪方法及系统
US20140115705A1 (en) Method for detecting illegal connection and network monitoring apparatus
CN111464526A (zh) 一种网络入侵检测方法、装置、设备及可读存储介质
CN113518077A (zh) 一种恶意网络爬虫检测方法、装置、设备及存储介质
CN108351941B (zh) 分析装置、分析方法、以及计算机可读存储介质
CN103561076B (zh) 一种基于云的网页挂马实时防护方法及系统
CN108259416B (zh) 检测恶意网页的方法及相关设备
CN112468611A (zh) 应用程序启动方法、终端设备及计算机存储介质
CN108270730A (zh) 一种扩展防火墙的应用层检测方法、装置及电子设备
CN111259398A (zh) 病毒防御方法、装置、设备和可读存储介质
US9160765B1 (en) Method for securing endpoints from onslaught of network attacks
US20220210180A1 (en) Automated Detection of Cross Site Scripting Attacks

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C14 Grant of patent or utility model
GR01 Patent grant
TR01 Transfer of patent right
TR01 Transfer of patent right

Effective date of registration: 20220714

Address after: Room 801, 8th floor, No. 104, floors 1-19, building 2, yard 6, Jiuxianqiao Road, Chaoyang District, Beijing 100015

Patentee after: BEIJING QIHOO TECHNOLOGY Co.,Ltd.

Address before: 100088 room 112, block D, 28 new street, new street, Xicheng District, Beijing (Desheng Park)

Patentee before: BEIJING QIHOO TECHNOLOGY Co.,Ltd.

Patentee before: Qizhi software (Beijing) Co.,Ltd.